小田急電鉄のセキュリティチームに聴く「セキュリティ風土醸成の工夫」

1日平均約192万人の輸送人数を誇る小田急電鉄。箱根や湘南エリアへのレジャーに、あるいは通勤に利用する方も多いのではないでしょうか。小田急電鉄株式会社（以降、小田急）は、1923年に小田原急行鉄道株式会社として創立、戦後に不動産部門に進出し、レジャー施設などの開発にも注力、さらに1962年の小田急百貨店開業を皮切りに経営の多角化を進めてきました。2020年代に入ると「地域価値創造型企業」を経営ビジョンに据え、沿線を中心としたまちづくりを推進し、沿線住民のゆたかな暮らしの実現も目指しています。

グループ内に67社^※もの多様な企業を抱える小田急において、上記のようなビジョンのもと、DXやサイバーセキュリティをけん引する部署はどのように業務にあたっているのでしょうか？
SecurityGO編集部は同社のデジタル変革推進部にお邪魔し、同部 DX基盤グループ課長黒澤雄一（くろさわ・ゆういち）氏、課長代理草薙（くさなぎ）まり氏、同部情報セキュリティスペシャリスト柴田光昭（しばた・みつあき）氏、同部情報セキュリティ石川諒一（いしかわ・りょういち）氏ならびに羽田亜弥香（はねだ・あやか）氏にお話を伺いました。
※2025年4月1日現在。

写真：左から小田急電鉄株式会社デジタル変革推進部課長黒澤氏、課長代理草薙氏、羽田氏、石川氏

中期経営計画を支えるDX、そしてDXを支えるサイバーセキュリティ

まず、黒澤氏は「小田急の中期経営計画のうち、当部にとっての重要なポイントはDXの推進です」と切り出しました。では、小田急におけるDXとはどのようなものでしょうか？黒澤氏は、事業ドメインごとに違いがあるとして、次のように説明します。

鉄道事業というものは継続性が非常に重要ですが、従来アナログな作業が多いという特徴もあります。しかし、日本社会全体の労働人口の減少を背景として、ITの力を借りて省力化・効率化を進めることにより、継続性を担保する必要があります。
一方、観光事業や生活サービスなどは変化が激しい分野で、ITの力によって新たな価値を生み出していく側面があります。
さらに不動産業については、ITの力やDXによって、究極的には人々のライフステージのすべてを支えるようになっていくことが予想されます。

これらはいわば最終的な目標ですが、現時点ではそれに向けてデータ収集やAI活用などを段階的に進めている状況にあると黒澤氏は言います。新たな価値を創出し、費用対効果高くビジネスを回し、それによりグループの利益を最大化していく。それを支えるのがDXであり、DXを支える手段のひとつがサイバーセキュリティだと考えている、と黒澤氏は語ります。

お話から伺えるのは、同社の経営戦略はもとより、小田急電鉄沿線のまちづくりや暮らしにおいても、DXは欠かせない要素であるということです。それを安全に推進するにはサイバーセキュリティもまた不可欠です。広範なグループ企業において、また、2027年に小田急線開業100周年を迎える伝統ある鉄道事業も抱えるなかで、どのようにしてDXを推進していくのか。さらにお話を伺いました。

組織の文化に合わせた情報セキュリティ意識の浸透

デジタル変革推進部は経営企画本部の配下、つまり、いわば「旗振り部門」の内部にあると黒澤氏は言います。したがって、情報セキュリティ分野で言うならば、たとえば規則や教育など、グループ全体で統一すべきものを同部で担っているということです。

各部門が導入するシステムやSaaSなどを同部がすべて細かく管理することはせず、各部にオーナーシップを持たせつつ、規則等でガバナンスを効かせ、うまくバランスをとっているのが小田急の特徴とのこと。先ほどアナログという話も出ましたが、「紙を使うなど、従来のやり方を続けている現場もまだ残っており、現場にはそれを何とかしたいと考えている人も多いのです」と、各部門と直接やりとりすることの多い柴田氏が語ります。「それに対してシステムをゼロから構築するのは敷居が高い。現場の担当者自ら、業務に役立つSaaSを見つけたので使用したい、という希望もしばしば寄せられます」。

黒澤氏も、時代の流れを踏まえて「オンプレの時代であれば当部がすべて統括することもできましたが、今はクラウドの時代ですよね。DXはスピードが大事。一部署が強力に一元管理するとガバナンスは効きやすいですが、スピード感に欠けると個人的には感じます」と話します。同部の場合は、程よいさじ加減でスピードとガバナンスを両立し、ガードレールの役割を果たすとしています。

また、サイバーセキュリティやSaaSなどの製品を検討・導入するにあたって、「当社の文化に合っているかどうか」も重視すると言います。「小田急には4000人程度の従業員がいますが、現場にいる駅員や運転士などが圧倒的に多い。そうした業務上PCを利用する機会の少ない従業員にも情報セキュリティについて理解してもらわなければならないので、それは非常に気を遣います。また、現場の従業員は、ルールに沿って業務にあたることに長けており、トップダウン方式の効果が上がりやすい」。このように、同社の文化の一面を語ります。

小田急では2022年にトレンドマイクロの「Trend Vision One」を導入し、サイバーセキュリティ対策強化を進めてきましたが、それと並行して、「小田急グループの情報システムにおける情報セキュリティ基本方針」を策定しました。
黒澤氏は、このような方針の策定は「いの一番に行うべきだと判断し、非常に力を入れました」と語ります。「この方針が認知されると、グループ会社はそれに従って動いてくれます。全社教育やインシデント訓練もスムーズに行いやすくなります。これがあればインシデントを防げるというものでもないですが、組織のコントロールのためには重要だと思います」。

実際、同社ウェブサイトの「情報セキュリティ」のページには、従業員向けの情報セキュリティ教育や啓発の取り組みの記載があり、基本用語やサイバー攻撃の動向などを扱う全社向け教育に対して、ほぼ100%の回答率が示されています。
またインシデント訓練についても、他部署から抵抗感を示されるかと思いきや、実施後に「1回体験してみたらすごく勉強になったので、またお願いします、という感想をもらいました」と、石川氏も笑顔を見せます。

また、草薙氏も小田急の文化についてこう語ります。「鉄道会社なので、鉄道のリスクマネジメントは現場社員にまで浸透しています。リスクのつぶし方もみんな身につけています」。このため、情報セキュリティもリスクマネジメントの話だということを伝えると、すぐに必要性を理解して動いてくれるとのこと。よくわからないから避けるというような態度をとることはないそうです。

もともと、自然災害などのリスクと闘う土壌があるために、サイバーリスクについても理解と行動が早い。こうした側面は、新卒1年目で情報セキュリティに携わる羽田氏にも新鮮に映ったようです。「私は入社前、ユーザ企業では情報セキュリティ対策が追い付いていないところが多いのでは、という印象を持っていました。でも、いざ小田急に入社してみると、予想よりも浸透していて、そんなに遅れているわけではないと感じます」と、率直な感想を語りました。「鉄道は歴史が長いものなので、昔ながらの価値観を持っている従業員もいるのではというイメージがあり、その中で情報セキュリティの推進は難しそうだと思っていました。しかし実際にはこちらの話をしっかり聞いてくれますし、情報セキュリティに興味を持ってくれる方もいて、驚くと同時に嬉しかったです」。

こうした小田急の姿には、これまでデジタル変革推進部の方々が組織の文化に合うように苦心し、相手の立場に合わせ、相手の言語に合わせ、形を変えてコミュニケーションを取ってきた努力が表れていると筆者には思われます。

一般に、情報セキュリティ担当部門と経営層あるいは業務部門とのあいだには、コミュニケーションギャップが生まれがちだと言われています。情報セキュリティを含めた様々な場において、対象に合わせてコミュニケーションの仕方を工夫しながら根気よくアプローチすることの重要性を考えさせられます。

重要インフラ事業者としてサイバーセキュリティ強化を目指す

前述のように、小田急では2022年にTrend Vision Oneを導入しましたが、そこには決定的なきっかけやインシデントがあったわけではなく、複合的要素により最終的にたどり着いたとのこと。
黒澤氏は、「私たちは重要インフラ事業者に指定される企業のひとつです。国が求めていることに応えるためには、従来導入していたようなEPPだけでは不十分」という意識があったと語ります。

＜参考記事＞
・港湾追加で再注目の「重要インフラ」、自社への影響を改めて確認
・経済安全保障推進法をサイバーセキュリティ視点でとらえる～企業が備えるべきポイントを解説～
・アメリカ「CIRCIA（サイバーインシデント報告に関する重要インフラ法）」の概要を理解する

黒澤氏の話を受けて柴田氏が、導入の検討経緯を説明しました。他のセキュリティ製品利用を検討したがコストや環境面、推進しようとするDXとの兼ね合いなど、グループには合わない点がいくつか判明したとのこと。そして、いくつかのEDR製品を比較検討する中で、小田急に合っていると判断し、かつ費用対効果も高かったのが、Trend Vision Oneだったということです。

マネージドサービス導入：サイバーセキュリティをさらに強化しつつ負荷を抑える

小田急ではマネージドサービスである「Trend Service One Complete」も導入しています。Trend Service Oneは、トレンドマイクロのサイバーセキュリティ専門家がサイバー攻撃やインシデントの発生を24時間365日監視するものです。検知と対応をサポートすることによりセキュリティチームを強化します。これを導入した背景について、柴田氏に伺いました。

「それまでEDRを使ったことがなかったので、運用にどのぐらいの負荷がかかるのか未知数だったのです」と柴田氏は語ります。どのぐらいの頻度でどのぐらいの検知数が上がってくるのか想像がつかず、社内の担当者だけで対応できるのだろうかと、不安が大きかったとのこと。また同社内でも、そのような点への投資に理解があり、外部の専門家にしっかり見てもらうという発想があったため、マネージドサービスは必須と考えていたそうです。

当然ながら製品のみの導入より費用は掛かりますが、柴田氏は決して高額とは思わないとのこと。「トレンドマイクロのサポート担当者と直接、技術面を含めて色々な話ができる機会があり、また定例会議も持ってもらっており、価値が高いと思います」。

鉄道は早朝から深夜まで運行します。グループ内のホテルも24時間365日稼働しています。このような外部のサービスを活用していかなければ、組織をサステナブルに運営することは難しくなります。守るべきPC、サーバ、IDも多数あるなかで、自社で24時間体制を構築することは現実的ではないでしょう。サイバーセキュリティを強化しながらも組織と従業員も守る、マネージドサービスの有効性を十分に感じていただけているようです。

達成感や誇りを持ってセキュリティ業務にあたる

前述のように、重要インフラ事業者として対策強化の必要性を感じていたところに、EDRを導入することによって監視を強化し、「できなかったこと、やりたかったことができるようになった。以前と同じ人数で色々なことができるようになった」と黒澤氏は言います。柴田氏も「休みの日の安心感」が増したと語ります。EDR導入により業務は増えても、他業務が圧迫されるほどではなく、アラートも予想より少ないとのこと。

小田急では将来的なゼロトラストの実現を視野に、「Trend Vision One - Cyber Risk Exposure Management（CREM）」も導入しており、ハード・ソフトの両面でその効果を実感しているようです。CREMでは、組織のIT資産を可視化、脆弱性などをもとに各資産のリスクを数値で示します。このリスクスコアの高い資産から優先的にパッチ適用などの対応を行っていくことで、結果的に組織全体のリスク低減が可能になります。平時からリスクを下げておくことで、攻撃を受ける可能性と被害の最小化を目指します。

デジタル変革推進部でも、Trend Vision Oneのコンソール上でCREMの画面を日々確認し、デバイスチームと連携しながらリスク低減に努めているとのこと。柴田氏によれば、たとえば脆弱性を抱える端末が200台ある場合、すべて一度にパッチを適用するのは難しいが、トップ50の高リスクの端末から順に作業するなどの調整をしているそうです。実際に作業するデバイスチームとのコミュニケーションにも、リスクスコアが役立ちます。またデバイスチームにとっても、作業するとリスクスコアが下がるため、結果が目に見えることがモチベーションのアップ、達成感、満足感にも繋がっているそうです。

「トレンドマイクロの『インシデント対応ボードゲーム』もよく使っています」と黒澤氏。インシデント対応ボードゲームとは、5～6人を一組として行い、セキュリティインシデント発生時の対応をボードゲーム形式で体感できる机上のインシデントレスポンス演習です。同部では、グループ会社とこのゲームを行うことで、グループ内のセキュリティ意識の向上を目指すとともに、「対面で顔の見える関係」の構築にも役立てているとのこと。ゲームのシナリオも、たとえば小売業を想定したものなど、グループ会社の希望に合わせて設定します。先日も、あるグループ会社を対象に、石川氏がゲームのファシリテータを務めたそうです。

＜参考記事＞病院でランサムウェア被害が起きたらどうする？ボードゲームでシミュレーション

草薙氏は、同部のメンバーについて、IT採用ではなく他部門との人材交流で異動してきた方が半数近いと言います。昨今の多様性を生かしていく時代において、こうした交流があり「ミックスであること」は強みと考えるとのこと。若手のメンバーについても、いずれは他部門を経験して良いキャリアを築いてほしいと期待をのぞかせます。

「情報セキュリティは本当に大変な仕事だと思います。苦労してみんなの『当たり前』を支えているけれど、それが他部署からは見えにくい。もっと自信をもってよいし、誇りを持ってほしい。それをおもてに出し、社内外に発信したい」。草薙氏はこのようにチームへの希望を語ります。また、同部のセキュリティ業務を経験して他部署に異動したメンバーや、ボードゲームの経験者がグループ内に増えていくことで、グループ全体のセキュリティレベルが上がっていくことにも期待を示しました。

このほど、小田急の情報セキュリティを支える５名の方のお話を伺って著者が感じたことは、最新のDXとサイバーセキュリティを推進するにあたって、グループの文化を大切にし、他部門やグループ会社の方々をよく観察し、それぞれにマッチしたコミュニケーションを取っているということです。セキュリティといえば、しばしばツールやソリューションなどの技術面が注目されがちですが、実際には組織内の様々なステークホルダーとのコミュニケーションが大部分なのではないか。そのように実感させられる時間となりました。